Interview penvoerder Ralph Holz (Universiteit Twente)
Waarschijnlijk is er volgend jaar al een kleinschalig prototype van een uitbreiding op internet om het veilig te maken. Binnen het project Catrin wordt druk gebouwd en penvoerder Ralph Holz van Universiteit Twente verwacht over drie jaar het project te kunnen afronden.
Internetveiligheid is het kernpunt van Catrin: Controllable, Accountable, Transparant: the Responsible Internet. Eind 2019, begin 2020 ging Ralph Holz met zijn Responsible Internet-team aan de slag. In 2021 kende wetenschapsfinancierder NWO twee miljoen euro toe aan dit project om veilige en betrouwbare datauitwisseling via internet mogelijk te maken. Via de huidige kanalen met grotendeels Amerikaanse hyperscalers is dat niet te bewerkstelligen. Ondanks de goede bedoelingen kunnen zij bijvoorbeeld niet garanderen dat gegevens niet Nederland verlaten en al te vaak is helemaal niet duidelijk waar data zijn.
Catrin vaart dus onder de vlag van cybersecurity. Het ontwikkelt het Responsible Internet, een nieuw security-by-design concept en uitbreiding van internet dat een hoger niveau van vertrouwen en soevereiniteit mogelijk maakt. Het verandert de internetinfrastructuur van een ‘black box’ in een ‘glass box’. Hoog in het vaandel staat digitale soevereiniteit. Het project integreert technologie, economie en beleidsonderzoek. Aan onderzoeker Holz de vraag hoe het er nu voor staat.
Fastfood en cateraars
Er is veel talent in Nederland, zo meent de wetenschapper. Toch lukt het Europa niet om een naar de wensen/regels van het continent functionerend internet op touw te zetten. Daar waar Amerika en China hieraan inhoud weten te geven. Veel oorzaken vindt Holz terug in het artikel van Bert Hubert over het gebrek aan cloud-native-diensten in Nederland/Europa. ‘Een vergelijking die mogelijk helpt: de hyperscalers uit de US zijn als fastfood-restaurants met prachtige menu’s die snel kunnen leveren. En in Europa hebben we cateringbedrijven die op verzoek alles voor je kunnen maken, en groothandels, zoals Leaseweb, waar ingrediënten gekocht of gehuurd kunnen worden’, aldus Hubert.
Maar de cateraars/groothandels overschatten zichzelf. ‘Een groot cloudinitiatief hier in Europa bleek niet te weten wat S3 dan was, terwijl het vermoedelijk de meest essentiële dienst is.’ Vervolgens concludeert Hubert: ‘Als je cloud native denkt en op die manier wil werken, dan kom je in Europa uit op een industrie in verwarring, een industrie die claimt alles te kunnen wat je nodig hebt, maar tegelijk niet goed weet wat dat dan is.’
Catrin werkt aan de digitale soevereiniteit om de huidige internettekortkomingen weg te nemen. Dat is nodig, omdat vooral in Europa zorgen bestaan over de betrouwbaarheid en soevereiniteit van de fundamenten van haar digitale economie. Omdat die vaak afhankelijk is van systemen die elders worden geëxploiteerd of geproduceerd.
Afhankelijkheden in beeld
Het leeuwendeel van het werk aan Catrin is het meten van datastromen. ‘We zijn in kaart aan het brengen welke afhankelijkheden er in de netwerken van de operators zijn. Als een dienst uitvalt, dan heeft dat altijd gevolgen voor verbindingen verderop in het internet-netwerk. Dat web van onderlinge relaties leggen we bloot. Daarvoor verzamelen we data van de Nederlandse operators. Als je dat eenmaal in beeld hebt, dan zie je waar versterkingen nodig zijn en kun je bedenken hoe je dat technisch oplost’, stelt Holz.
Hij vertelt dat gebruikers van internet, bijvoorbeeld beheerders van kritieke infrastructuur, moeten kunnen specificeren hoe zij verwachten dat de ketens van netwerkoperators omgaan met hun data. Dan moet je wel weten hoe die ketens in elkaar grijpen. ‘Maar het is wenselijk dat organisaties kunnen aangeven hoe de verwerkers van hun gegevens omgaan met hun data. Dat willen ze zelf weten, maar dat moeten ze ook kunnen overleggen aan controlerende instanties. En de wet- en regelgeving wordt in Europa op dit vlak alleen maar strenger.’
Een verantwoordelijk internet moet zijn interne structuur kunnen beschrijven
Verifieerbaarheid is een vereiste van Catrin. Daarom is transparantie noodzakelijk. Een verantwoordelijk internet moet zijn interne structuur kunnen beschrijven in termen van netwerkoperators, hun eigenschappen (zoals jurisdictie en technische infrastructuur) en hun relaties met andere netwerkoperators. De aanbieders moeten dan ook expliciet de regels beschrijven die zij hanteren voor het nemen van besluiten. Dan kun je nagaan of ze de regels hebben gevolgd.
Onderlinge relaties
In een paper beschrijft Catrin hoe dit is te bereiken: Een verantwoordelijk internet bereikt dit door twee nieuwe gedistribueerde en gedecentraliseerde systemen. Het eerste is het Network Inspection Plane (NIP), waarmee gebruikers op metingen gebaseerde beschrijvingen kunnen opvragen van de ketens van netwerkexploitanten (bijvoorbeeld isp’s – internetserviceproviders en dns- en cloudproviders) die hun datastromen afhandelen of mogelijk zouden kunnen afhandelen, inclusief hun onderlinge relaties en de eigenschappen van deze operators. Het tweede is het Network Control Plane (NCP), waarmee gebruikers kunnen specificeren hoe ze verwachten dat de internetinfrastructuur hun gegevens behandelen (bijvoorbeeld in termen van de beveiligingsattributen die ze verwachten dat ketens van netwerkoperators hebben) op basis van de inzichten die ze verkregen uit het NIP.
Holz: ‘We bespreken onderzoeksrichtingen en uitgangspunten om een verantwoord internet te realiseren door drie momenteel grotendeels los van elkaar staande onderzoeksgebieden te combineren: grootschalige metingen voor het NIP, open source-gebaseerde programmeerbare netwerken voor het NCP, en beleidsvorming gebaseerd op het NIP en het aansturen van het NCP.’ Hij voegt er aan toe dat het belangrijk is dat de gebruiker bepaalt waar de gegevens zijn en hoe ze worden getransporteerd; dus niet hyperscalers, isp’s of de overheid.
Partners
Dat doet Universiteit Twente niet alleen. Holz kan rekenen op de inbreng van meerdere partners: TU Delft, TU Eindhoven, Universiteit van Amsterdam, Waag, SIDN Labs, NLnetlabs, Trimm, en KPN. Als er eenmaal een mogelijkheid is om veilig te internetten, zou je verwachten dat de overheid regelt dat organisaties daarvan gebruik moeten maken. Maar Holz heeft daar niet zoveel mee op. ‘Overheid en ict is tot nog toe een ongelukkige combinatie geweest. Ik voel persoonlijk niet veel voor een verplichting. Het is nuttiger als de markt het veilige internet als een dienst aanbiedt. Bijvoorbeeld via een bedrijf als KPN. Dan kunnen organisaties er zelf voor kiezen hoe belangrijk zij het beheer van hun data vinden.’
Voorlopig is het nog even wachten op het verantwoorde internet, maar Holz werkt er met zijn partners hard aan.
Die laatste alinea zegt veel:
“Als er eenmaal een mogelijkheid is om veilig te internetten, zou je verwachten dat de overheid regelt dat organisaties daarvan gebruik moeten maken. Maar Holz heeft daar niet zoveel mee op. ‘Overheid en ict is tot nog toe een ongelukkige combinatie geweest. Ik voel persoonlijk niet veel voor een verplichting. Het is nuttiger als de markt het veilige internet als een dienst aanbiedt. Bijvoorbeeld via een bedrijf als KPN. Dan kunnen organisaties er zelf voor kiezen hoe belangrijk zij het beheer van hun data vinden.’”
Haha, Holst heeft daar niet zo veel mee op.
Weer filosofisch en paradox enzo. Governance versus ICT. Volgens artikel is de overheid blijkbaar niet te vertrouwen maar KPN wel (ze bellen mij wel eens trouwens, eeh elke dag, om me contract aan te smere) De overtreffende trap van aan de markt overlaten. In dat kader : niet-fascistische kandidaten vinden en huidige regering is tot nu toe “een ongelukkige combinatie geweest”